System und Verfahren zum sicheren Ausführen eines bereitgestellten Steuerbefehles ausge- hend von einem bereitgestellten Initialisierungssignal

Die vorliegende Erfindung betrifft ein System aufweisend verteilte, funktional zusammenwirkende Vorrichtungen sowie ein entsprechendes Verfahren zum ortsunabhängigen und anbieterübergreifenden Veranlassen beziehungsweise Ausführen einer Transaktion, zum Beispiel einer Zahlungstransaktionen von einem Geldgeber an einen Geldempfänger, und betrifft insbesondere ein System und ein Verfahren zur Ausführung eines bereitgestellten Steuerbefehls. Die Erfindung betrifft ferner einen Datenspeicher zum Abspeichern entsprechender Verfahrensschritte, beziehungsweise ein computerlesbares Medium mit Steuerbefehlen zum Ausführen eben dieses Verfahrens.

In einer Vielzahl von Anwendungen der Telekommunikationstechnologie werden zunehmend sensible Dienste wie das Entgegennehmen, Verarbeiten und Bereitstellen von persönlichen Daten mittels entfernter Schnittstellen angeboten. Somit wird von mindestens einem Benutzer ein Veranlassen von Steuerbefehlen erwartet, ohne dass eben dieser Benutzer sicherstellen kann, dass er mit einer vertrauenswürdigen Stelle kommuniziert. Ein Zugreifen auf entsprechende Dienste kann beispielsweise mittels mobiler Endgeräte oder stationärer Recheneinheiten durchgeführt werden.

Hierzu kann gemäß herkömmlichen Verfahren eine gesicherte Verbindung mit einem Dienstan- bieter aufgebaut werden. Es ist jedoch möglich, dass lediglich die Kommunikation zwischen einem Sender und einem Empfänger abgesichert ist. Oftmals bedarf es hierbei weiterer komplizierter Mechanismen, welche ein sicheres Feststellen der Identität des Senders sowie des Empfängers gewährleisten. Eine Implementierung eines solchen Authentifizierungsmechanismus ist jedoch typischerweise aufwändig und möglicherweise fehleranfällig. Möchte ein Benutzer von seinem mobilen Endgerät einen sensiblen Dienst in Anspruch nehmen, so erwartet er von einem bestimmungsgemäßen System, dass dies mit möglichst geringem technischen Aufwand und mit einfacher Bedienung von statten geht. Gemäß herkömmlicher Verfahren ist jedoch so- wohl auf Sender- als auch Empfängerseite erheblicher technischer Aufwand zu betreiben. Beispielsweise müssen gemäß herkömmlichen Verfahren mobile Endgeräte spezielle, gesicherte Protokolle unterstützen, muss eine spezielle Software installierbar sein und/ oder müssen weitere physische Hardwarekomponenten zur Authentifizierung bereitstehen.

Ein besonders sensibler Steuerbefehl kann zum Beispiel ein Veranlassen einer Finanztransaktion sein. Hierbei fordert ein Geldgeber, zum Beispiel mittels eines mobilen Endgeräts, eine technische Vorrichtung eines Zahlungsdienstleisters auf, einem Konto eines Geldempfängers einen gewissen Betrag gutzuschreiben. Hierbei soll insbesondere sichergestellt werden, dass das Ausführen eben dieses Steuerbefehls sowohl korrekt und unkompliziert erfolgt, als auch, dass dies möglichst von jedem mobilen Endgerät, wie zum Beispiel einem Mobiltelefon, ausgeführt werden kann.

Zum Abwickeln elektronischer Transaktionen sind eine Mehrzahl von Zahlsystemen bekannt, welche auf einem Abrufen von Geld von einem bekannten Konto, einem adressierten Senden von Geld und/ oder einem Zahlungsmittel, d.h. Prepaid, einem Voucher oder einem Wertgutschein, basieren können. Insbesondere sind hier ein Bankeinzug mittels Kontoinhaber, Kontonummer und Bankleitzahl, eine Verwendung einer Kreditkarte, ein Abrechnen mittels Mobilfunkrechnung, ein Abrechnen mittels einer Identifikationsnummer in Form einer Mobiltelefonnummer oder einer Kundennummer, ein Überweisen von Geld, eine Verwendung von Bargeld oder eine Geldkarte als Zahlungssystem und weitere Verfahren von Drittanbietem bekannt.

Als weiteres herkömmliches Verfahren ist das Transaktionensystem "Paypal" bekannt. Dieses mobile Zahlungssystem basiert auf einer Applikation, auch App genannt, für Smartphones. Hierbei ist es erforderlich, dass sich sowohl Geldgeber als auch Geldempfänger bei entsprechenden Diensten registrieren, d.h. persönliche Informationen übermitteln, bevor sie entsprechende Transaktionen ausführen können.

Als weiteres herkömmliches Verfahren ist "Google Wallet" bekannt, welches bestehende Kar- tensysteme in Form einer entsprechenden Applikation umsetzt. Die virtuellen Karten können über das sogenannte "Near Field Comunication" kommunizieren. Dieses kann einen Magnetstreifen oder einen Chip einer Bezahlkarte ersetzen.

CA 2 457 263 A beschreibt eine Methode zum Autorisieren einer Kauftransaktjon mit den Schrit- ten: Erzeugen eines eindeutigen Transaktionsidentifikationcodes, Empfangen eines Bestäti- gungscodes von einer Servicestelle und Autorisieren einer Transaktion bei einem Korrespondieren des empfangenen Bestätig ungscodes mit dem eindeutigen Transaktionsidentifikationscode.

WO 2008 083 022 A1 beschreibt ein Verfahren und ein System zum Durchführen eines Veran- lassen s einer Finanztransaktion mittels eines Mobiltelefons. Hierbei initiiert der Geldgeber eine Transaktion mittels Übersendens einer Zahlungsanfragenachricht von einem Mobilentelefon, welche den Zahlungsempfänger und den Zahlungsbetrag spezifiziert. Hierbei werden Zahlungsempfänger mittels eindeutiger Aliase identifiziert. EP 1 229 467 A1 beschreibt ein Bezahlsystem mit einem mobilen Gerät, wobei Zahlungsvorgänge durchgeführt werden und eine Kasse eine Zahlungsaufforderung drahtlos an ein mobiles Gerät eines Kunden überträgt, dieses die Zahlungsaufforderung prüft, bei positivem Ergebnis daraus eine Zahlungsanweisung erzeugt, diese an eine Zahlungszentrale übermittelt, die Zahlungszentrale die Zahlungsanweisung prüft, bei positivem Ergebnis die Zahlungszentrale der Kasse eine Zahlungsbestätigung schickt, die Kasse die Zahlungsbestätigung prüft und bei positivem Ergebnis dieses angezeigt beziehungsweise die zu bezahlende Ware freigegeben wird.

EP 1 450 322 A1 beschreibt ein Zahlungsverfahren zwischen einem Mobilteilnehmer und einem Anbieter, wobei der Mobilteilnehmer über ein erstes tragbares persönliches Identifizierungsmo- dul verfügt, das zur Identifizierung in einem Mobilfunknetz bestimmt ist, wobei das genannte Identifizierungsmodul an mindestens ein Geldkonto gebunden ist, wobei mindestens ein genanntes Geldkonto ein Ausgabenlimit hat, wobei ein Ausführen einer Zahlungstransaktion, für die das benannte Ausgabenlimit nicht ausreicht, mittels eines zweiten angegliederten Geldkontos, das an ein zweites Identrfizierungsmodul gebunden ist, erfolgt.

Gemäß weiterer herkömmlicher Verfahren werden SIM-Karten verwendet, um einen Teilnehmer zu identifizieren. Unter dieser Identität können mehrere Geldkonten beziehungsweise Zahlungsdienstleister subsumiert werden. Je nach Zahlungssystem entstehen jedoch unterschiedliche Probleme. Die Person, die bei einer Zahlung in der Rolle des Geldgebers ist, möchte seine Daten nach Möglichkeit nicht gegenüber dem Geldempfänger preisgeben. Zahlungsmittel- oder Wertgutschein-Systeme haben den

Nachteil, dass das Geld zuvor in der Form des Wertmittels bereitgestellt werden muss, bevor es übertragen werden kann. Weiterhin ist der Nutzer an das Medium gebunden. Internet- Wertgutscheine funktionieren nur im Internet. Viele Systeme sind weiterhin an einen Anbieter gebunden. Somit setzt die Möglichkeit voraus, Geld von Geber zu Empfänger zu transferieren, dass beide dem gleichen Anbieter vertrauen und diesem Daten übersenden. Ferner besteht das Problem darin, dass kein bekanntes Zahlungssystem in der Lage ist, auf allen Kommunikationsebenen, also online, telefonisch und bei persönlichem Kontakt, zuverlässig Dienste bereitzustellen. Zusätzlich sollen solche Dienste unabhängig von einem bestimmten Anbieter funktionieren und gleichzeitig ausreichenden Datenschutz für den Geldgeber bieten.

Gemäß herkömmlicher Verfahren ist es oftmals nicht möglich, mit geringem technischen Aufwand eine umfangreiche Funktionalität bereitzustellen, zum Beispiel, dass Teilnehmer Kunden anderer Zahlungsdienstleister sein können, der zahlende Teilnehmer anonym ist, die Transakti- on einfach und unkompliziert ist, ein Einkauf mit geringem technischen Aufwand für Käufer und Verkäufer möglich ist, Datenschutz gewährt wird, eine Altersprüfung durchgeführt werden kann, Mehrwertdienste, wie zum Beispiel ein integrierter Kassenzettel oder ein elektronisches Haushaltsbuch, angeboten werden können und/ oder Bonuskarten von Ladenketten ersetzt werden können.

Somit sind herkömmliche Verfahren und Vorrichtungen zum Veranlassen eines Ausführens eines Steuerbefehls beziehungsweise zum Ausführen eines Steuerbefehls oftmals mit hohem technischen Aufwand verbunden, da sie das Bereitstellen geeigneter Hardware- und/ oder Softwarekomponenten erfordern, beziehungsweise insbesondere bezüglich eines Ausführens von Finanztransaktionen derart unzureichende Funktionalität bereitstellen, dass bezüglich einer Vielzahl von Anwendungsszenarien wertere Funktionen ebenfalls mittels eines Bereitstellens weiterer Hardware- und/ oder Softwarekomponenten implementiert werden müssen.

Somit ist es eine Aufgabe der vorliegenden Erfindung, eine verbesserte Vorrichtung bezie- hungsweise ein System und ein verbessertes Verfahren bereitzustellen, welche ein sicheres und ortsunabhängiges Ausführen eines sensiblen, bereitgestellten Steuerbefehls veranlassen und zudem einen hohen Datenschutz gewährleisten.

Diese Aufgabe wird durch ein System zur Ausführung eines bereitgestellten Steuerbefehls, auf- weisend die Merkmale gemäß Anspruchs 1 sowie durch ein Verfahren mit den Merkmalen gemäß Anspruch 15 gelöst.

Zweckmäßige Weiterbildungen sind in den abhängigen Ansprüchen definiert.

Demgemäß wird ein System zur Ausführung eines Steuerbefehls, ausgehend von einem bereit- gestellten Initialisierungssignal, bereitgestellt, welches aufweist eine erste Autorisierungsvornchtung, eine zweite Autorisierungsvornchtung und eine Ausführungsvorrichtung, wobei die Ausfüh- rungsvorrichtung eingerichtet ist, auf Anfrage der ersten Autorisierungsvorrichtung dieser ein Initialisierungssignal bereitzustellen, welches von der ersten Autorisierungsvorrichtung unter Umgehung der Ausführungsvorrichtung an die zweite Autorisierungsvorrichtung übermittelt wird, die zweite Autorisierungsvorrichtung eingerichtet ist, ein Anfragesignal zu erzeugen und dieses über die Ausführungsvorrichtung an die erste Autorisierungsvorrichtung zu übermitteln, und die Ausführungsvorrichtung eingerichtet ist, einen Steuerbefehl basierend auf dem Anfragesignal in Abhängigkeit von einer Bestätigung des Anfragesignals durch die erste Autorisierungsvorrichtung, auszuführen. Das bereitgestellte System umfasst eine Mehrzahl funktional zusammenwirkender Komponenten, beispielsweise die erste Autoris ieru ng svo rrichtu ng , die zweite Autorisierungsvorrichtung und die Ausführungsvorrichtung. Hierbei ist es jedoch auch möglich, dass an dem Zusammenwirken des Systems weitere Komponenten beteiligt sind, welche beispielsweise zum Bereitstellen eines Kommunikationsnebwerkes notwendig sind. Hierbei sind dem Fachmann diverse Netzwerkkomponenten bekannt. Entsprechende Vorrichtungen beziehungsweise Komponenten sind kommunikativ mittels Schnittstellen verbunden und können über entsprechende Protokolle Nachrichten austauschen. Die erste Autorisierungsvonichtung und die zweite Autorisierungsvorrichtung können beispielsweise als ein mobiles Endgerät, wie zum Beispiel ein Mobiltelefon oder ein tragbarer Rechner vorliegen oder können als ein stationärer Rechner, d.h. ein entsprechen- der Desktoprechner mitsamt zugehöriger Peripherie, vorliegen. Die Ausführungsvorrichtung kann als eine spezialisierte Hardwarekomponente bereitgestellt werden. Es ist auch möglich, die Ausführungsvorrichtung in ein spezielles Lesegerät beziehungsweise einer Bezahlkomponente zu integrieren beziehungsweise diese zu verbinden. Insbesondere kann es vorteilhaft sein, die Ausführungsvorrichtung als einen Server auszugestalten. Es ist jedoch auch möglich, die erste Autorisierungsvorrichtung, die zweite Autorisierungsvorrichtung und die Ausführungsvorrichtung in Form von Steuerbefehlen bereitzustellen.

Die Komponenten des bereitgestellten Systems können untereinander mittels Nachrichten oder Signalen kommunizieren. Nachrichten können hierbei gemäß bestimmter Dateiformate aufge- baut sein und zusätzlich zu Nutzdaten weitere Metadaten, wie zum Beispiel Identifikationsdaten oder Adressdaten, aufweisen. Signale umfassen jegliche Art von elektrischen Signalen, wobei Signale auch Nachrichten modellieren können, beziehungsweise Nachrichten ein Erzeugen bestimmter Signale veranlassen können. Zudem können die beschriebenen Komponenten vorzugsweise derart eingerichtet sein, dass sie ein Ausführen weiterer Steuerbefehle veranlassen und/ oder diese selbst ausführen. So kann es vorteilhaft sein, zwischen einzelnen Komponenten eine gesicherte Verbindung aufzubauen und/ oder ein gegenseitiges Authentifizieren durchzuführen. Ferner kann es erforderlich sein, netz- werkprotokolltypische Informationen auszutauschen und/ oder Bestätigungen durchgeführter Transaktionen zu übermitteln.

Die Ausführungsvorrichtung ist vorzugsweise eingerichtet, auf Anfrage der ersten Autorisie- rungsvorrichtung dieser das Initialisierungssignal bereitzustellen. Somit übermittelt die erste Autorisierungsvorrichtung eine Anfragenachricht beziehungsweise ein Anfragesignal an die Ausführungsvorrichtung. Die Ausführungsvorrichtung erzeugt daraufhin ein Initialisierungssignal, welches zumindest Teile der Anfragenachricht beziehungsweise des Anfragesignals umfassen kann und/ oder Informationen umfassen kann, welche in Abhängigkeit von zumindest einem Teil der Anfragenachricht, beziehungsweise des Anfragesignals, erzeugt werden. So ist es möglich, dass die Anfragenachricht beziehungsweise des Anfragesignal Parameter aufweist, anhand derer zumindest ein Teil des Initialisierungssignals berechnet wird. Hierbei ist es vorteilhaft, dass das Initialisierungssignal von der ersten Autoris ieru ng s vo rrichtu ng an die zweite Autorisierungsvorrichtung übermittelt wird. Somit ist es nicht notwendig, dass die Ausführungsvorrichtung mit der zweiten Autorisierungsvorrichtung kommuniziert, wodurch es gelingt, dass die zweite Autorisierungsvorrichtung und die Ausführungsvorrichtung gegenseitig anonym bleiben. Unter Umgehung der Ausführungsvorrichtung bedeutet hierbei, dass die Ausführungsvorrichtung die Inhalte des Initialisierungssignals nicht auslesen können muss. Auch wenn zumindest Teile des Initialisierungssignals vorübergehend physisch in einem der Ausführungsvorrichtung zugeordnetem Speicher abgelegt werden können, so folgen keinerlei Verarbeitungsschritte eben dieser Information durch die Ausführungsvorrichtung. Die zweite Autorisierungsvorrichtung ist vorzugsweise eingerichtet, ein Anfragesignal in Abhängigkeit von dem übermittelten Initialisierungssignal zu erzeugen und dieses über die Ausführungsvorrichtung an die erste Autorisierungsvorrichtung zu übermitteln.

Die zweite Autorisierungsvorrichtung ist ferner vorzugsweise eingerichtet, ein Anfragesignal zu erzeugen und dieses über die Ausführungsvorrichtung an die erste Autorisierungsvorrichtung zu übermitteln. Hierbei ist es wiederum möglich, das Anfragesignal in Abhängigkeit von dem übermittelten Initialisierungssignal zu erzeugen, was dadurch erfolgen kann, dass zumindest ein Teil des Initialisierungssignals in dem Anfragesignal enthalten ist. Ferner ist es möglich, dass die zweite Autorisierungsvorrichtung Daten aus einem ihr zugeordneten Datenspeicher ausliest und in Abhängigkeit des übersendeten Initialisierungssignals und weiterer ausgelesener Daten das Anfragesignal erzeugt. Bei einem Übermitteln des Anfragesignals über die Ausführungsvorrich- tung an die erste Autorisierungsvorrichtung kann es sich um ein Durchreichen des Anfragesignals von der Ausführungsvorrichtung an die erste Autorisierungsvorrichtung handeln. Es kann sich jedoch auch um ein direktes Übermitteln, d.h. ohne Verwendung der Ausführungsvorrichtung, von der zweiten Autorisierungsvorrichtung an die erste Autorisierungsvorrichtung handeln. Es ist jedoch auch möglich, dass nach einem Übersenden des Anfragesignals von der zweiten Autorisierungsvorrichtung an die Ausführungsvorrichtung die Ausführungsvorrichtung zumindest Teile des Anfragesignals abändert, so dass nur noch ein Teil des ursprünglichen Anfragesignals an die erste Autorisierungsvorrichtung übermittelt wird. Insbesondere kann es vorteilhaft sein, dass die Ausführungsvorrichtung dem Anfragesignal weitere Daten zufügt und somit ein verän- dertes Anfragesignal an die erste Autorisierungsvorrichtung übermittelt.

Die erste Autorisierungsvorrichtung ist vorzugsweise geeignet, das Anfragesignal zu bestätigen. Ein Bestätigen kann hierbei ein Vergleichen des Anfragesignals mit weiteren Daten, zum Beispiel Daten, welche aus einem der ersten Autorisierungsvorrichtung zugeordneten Datenspei- eher ausgelesen werden, umfassen. Somit ist die erste Autorisierungsvorrichtung geeignet, Daten aus einem Datenspeicher auszugeben, diese gemäß einer bereitgestellten Funktionalität mit dem empfangenen Anfragesignal zu vergleichen und in Abhängigkeit vom Ergebnis des Vergleichens einen Wert zu errechnen. Dieser Wert kann eine Information bereitstellen, welche es erlaubt zu bestimmen, ob zumindest Teile des Anfragesignals mit ausgelesenen Daten überein- stimmen, und/ oder einen Grad zu bestimmen, zu welchem das empfangene Anfragesignal mit einem ausgelesenen Wert übereinstimmt. Das Ergebnis des Bestätigens wird an die Ausführungsvorrichtung übermittelt, welche in Abhängigkeit von einem Auswerten eben dieses Ergebnisses den Steuerbefehl ausführt oder nicht. Die Ausführungsvorrichtung kann vorzugsweise eingerichtet sein, den Steuerbefehl selbst auszuführen oder zumindest ein Ausführen dieses Steuerbefehls zu veranlassen. Somit führt die Ausführungsvorrichtung den Steuerbefehl nicht aus, sondern veranlasst eben dieses Ausführen durch eine andere ausführende Einheit. In Abhängigkeit des Auswertens des Bestätigungsergebnisses, beziehungsweise in Abhängigkeit vom Veranlassen und/ oder Durchführen des Steuerbefehls, kann ein weiterer Nachrichtenaustausch durchgeführt werden. Zum Beispiel ist es möglich, Statusinformationen von mindestens einer der vorbeschriebenen Komponenten an mindestens eine weitere der vorbeschriebenen Komponenten zu übermitteln und/ oder eine entsprechende Nachricht in einem Datenspeicher abzulegen. Ferner ist es während des gesamten Betreibens des Systems möglich, Systemprotokolle, Nachrichtenprotokolle und/ oder Status- Informationen in einem Datenspeicher abzulegen. Auch kann ein Ausfuhren des Steuerbefehls weitere Interaktionen zwischen mindestens zweien der vorbeschriebenen Komponenten auslösen.

In einer bevorzugten Ausführungsform des Systems gemäß der vorliegenden Erfindung kom- muniziert die erste Autorisierungsvorrichtung und die zweite Autorisierungsvorrichtung jeweils mittels einer gesicherten Verbindung eines Kommunikationsnetzes mit der Ausführungsvorrichtung.

Dies hat den Vorteil, dass ein Nachrichtenaustausch zwischen den Auto ris ieru ng svo rrichtu ngen und der Ausführungsvorrichtung gegen ein Abhören und/ oder ein Verfälschen von Nachrichten gesichert ist.

In einer weiteren Ausführungsform des Systems gemäß der vorliegenden Erfindung sind die erste Autorisierungsvorrichtung und die zweite Autorisierungsvorrichtung vorzugsweise derart ausgestaltet, dass eine wechselseitige Authentifizierung gegenüber der Ausführungsvorrichtung möglich ist.

Dies hat den Vorteil, dass sich sowohl die erste Autoris ierung svorrichtu ng als auch die zweite Autorisierungsvorrichtung gegenüber der Ausführungsvorrichtung derart identifiziert, dass si- chergestellt ist, dass tatsächlich nur berechtigte Vorrichtungen an einem Nachrichtenaustausch teilnehmen.

In einer weiteren Ausführungsform des Systems gemäß der vorliegenden Erfindung weist das Initialisierungssignal vorzugsweise einen bereitgestellten Wert und einen Zufallswert auf.

Dies hat den Vorteil, dass das Initialisierungssignal Parameter aufweisen kann, welche zum Beispiel einen Vorgang eindeutig identifizierbar machen und in dem Initialisierungssignal Metadaten und Nutzdaten codiert werden können. In einer weiteren Ausführungsform des Systems gemäß der vorliegenden Erfindung wird das Initialisierungssignal innerhalb einer bereitgestellten Zeitdauer genau einmal erzeugt.

Dies hat den Vorteil, dass das Signal eindeutig identifizierbar ist und somit festgestellt werden kann, ob eine Nachricht beziehungsweise ein Signal mehrfach gesendet wird. Ferner kann so- mit das Initialisierungssignal einen eindeutigen Zertstempel aufweisen, auf Basis dessen weitere Sicherheitsmechanismen implementiert werden können. In einer weiteren Ausführungsform des Systems gemäß der vorliegenden Erfindung ist zum Übermitteln des Initialisierungssignals mindestens ein Element aus einer Gruppe von Übermittlungskomponenten vorgesehen, die Gruppe aufweisend: eine Luftschnittstelle, eine kabelge- bundene Schnittstelle, eine Tastatur, eine Karteniesevorrichtung, einen Sensor, einen Sender, einen Empfänger, eine bildgebende Vorrichtung und eine bildverarbeitende Vorrichtung.

Dies hat den Vorteil, dass in Abhängigkeit von der eingesetzten Hardware viele Ausgestaltungen des vorgeschlagenen Systems möglich sind. Insbesondere kann erfindungsgemäß auf un- terschiedliche Szenarien, zum Beispiel bei einem Einsatz mobiler Endgeräte, eingegangen werden und entsprechend eine Vielzahl von herkömmlichen Hardwarekomponenten Einsatz finden.

In einer weiteren Ausführungsform des Systems gemäß der vorliegenden Erfindung weist das Anfragesignal mindestens einen Teil des Initialisierungssignals und/ oder mindestens einen wei- teren Ste ue rbefeh Isignalparameter auf.

Dies hat den Vorteil, dass das Anfragesignal dem inttialisierungssignal eindeutig zugeordnet werden kann, Parameter aus dem Initialisierungssignal ausgelesen und in das Anfragesignal eingefügt werden können und zudem weitere Steuerbefehlssignalparameter, welche beschrei- ben können, wie ein Steuerbefehl auszuführen ist, bereitgestellt werden können.

In einer weiteren Ausführungsform des Systems gemäß der vorliegenden Erfindung ist zur Bestätigung des Anfragesignals mindestens ein Element aus einer Gruppe von Komponenten vorgesehen, die Gruppe aufweisend: eine Luftschnittstelle, eine kabelgebundene Schnittstelle, eine Tastatur, eine Karteniesevorrichtung, einen Sensor, einen Sender, einen Empfänger, eine bildgebende Vorrichtung und eine bild verarbeitende Vorrichtung.

Dies hat den Vorteil, dass in Abhängigkeit von der eingesetzten Hardware viele Ausgestaltungen des vorgeschlagenen Systems möglich sind. Insbesondere kann erfindungsgemäß auf un- terschiedliche Szenarien, zum Beispiel bei einem Einsatz mobiler Endgeräte, eingegangen werden und entsprechend eine Vielzahl von herkömmlichen Hardwarekomponenten Einsatz finden. Insbesondere ist es möglich, ein Display eines mobilen Endgeräts als eine bildgebende Vorrichtung einzusetzen, um entsprechende Signale darzustellen und entsprechend die dargestellten Signale zu erfassen. Somit können zum Beispiel Mobiltelefone Einsatz finden, welche mittels integriertem Display und mittels integrierter Kamera kommunizieren. In einer weiteren Ausführungsform des Systems gemäß der vorliegenden Erfindung ist die erste Autorisierungsvorrichtung zur Bestätigung des Anfragesignals zum Bereitstellen mindestens einer Information einer Gruppe von Informationen eingerichtet, die Gruppe aufweisend: einen Schlüssel, eine PIN, ein Passwort, eine numerische Zeichenkette, eine alphanumerische Zei- chenkette, ein biometrisches Merkmal, ein Sicherheitsmerkmal und eine Bestätigungsinformation.

Dies hat den Vorteil, dass das Bestätigen des Anfragesignals unter Verwendung einer Vielzahl von Datenformaten stattfinden kann und zudem weitere Sicherheitsmechanismen Einsatz finden können.

In einer weiteren Ausführungsform des Systems gemäß der vorliegenden Erfindung führt die Ausführungsvorrichtung einen Steuerbefehl, basierend auf dem Anfragesignal, bei einer positiven Bestätigung des Anfragesignals aus und/ oder veranlasst dessen Ausführung.

Dies hat den Vorteil, dass die Ausführungsvorrichtung geeignet ist, in Abhängigkeit von einem Bestätigen einer positiven Evaluierung der Anfrage entweder den Steuerbefehl selbst abzuarbeiten und/ oder mittels eines entfernten Methodenaufrufs ein Verarbeiten des Steuerbefehls anzustoßen.

In einer weiteren Ausführungsform des Systems gemäß der vorliegenden Erfindung weist die Ausführungsvorrichtung mehrere Ausführungseinrichtungen auf, welche eingerichtet sind, untereinander mindestens eine Information aus einer Gruppe von Informationen auszutauschen, die Gruppe aufweisend: eine Authentifizierungsinformation, eine Bestätigungsinformation, eine Anfrageinformation, eine Statusinformation, ein Steuersignal, einen Steuerbefehl, einen Parameter, eine Nachricht, eine numerische Zeichenkette, eine alphanumerische Zeichenkette, eine PIN und ein Passwort.

Dies hat den Vorteil, dass ein mehrstufiges System gemäß der vorliegenden Erfindung imple- mentiert werden kann, bei dem die Ausführungsvorrichtung von mehreren Anbietern betrieben wird, welche miteinander kommunizieren können.

In einer weiteren Ausführungsform des Systems gemäß der vorliegenden Erfindung sind einzelne Ausführungseinrichtungen derart ausgeführt, dass eine wechselseitige Authentifizierung durchführbar ist und/ oder einzelne Ausführungseinrichtungen untereinander mittels einer gesicherten Verbindung eines Kommunikationsnetzes miteinander kommunizieren. Dies hat den Vorteil, dass ein verteiltes System gemäß der vorliegenden Erfindung Nachrichtenaustausch abhörsicher und fälschungssicher betreiben kann. In einer weiteren Ausführungsform des Systems gemäß der vorliegenden Erfindung ist mindestens eine der Vorrichtungen als eine Einrichtung aus einer Gruppe von Einrichtungen ausgestaltet, die Gruppe aufweisend: ein mobiles Endgerät, ein Handy, ein Tablet, einen tragbaren Computer, eine Kasse, ein Kassensystem, ein Automat und einen Server. Dies hat den Vorteil, dass herkömmliche Hardwarekomponenten Verwendung finden können.

In einer weiteren Ausführungsform des Systems gemäß der vorliegenden Erfindung ist das System als ein Bezahlsystem ausgestaltet, und/ oder das Initialisierungssignal liegt als ein Zahlungscode vor, und/ oder ein mittels des Initialisierungssignals bereitgestellter Wert identifiziert einen Zahlungsdienstleister, und/ oder ein mittels des Initialisierungssignals bereitgestellter Wert identifiziert eine Transaktion innerhalb eines begrenzten Zeitraums, und/ oder die Ausführungseinrichtung identifiziert die erste Autorisierungsvorrichtung innerhalb eines begrenzten Zeitfensters anhand eines Parameters des Initialisierungssignals eindeutig, und/ oder die erste Autorisierungsvorrichtung liegt als eine technische Vorrichtung eines Zahlungsleistenden vor, und/ oder die zweite Autorisierungsvorrichtung liegt als eine technische Vorrichtung eines Zahlungsempfangenden vor, und/ oder die Ausführungsvorrichtung liegt als eine technische Vorrichtung eines Zahlungsdienstleisters vor.

In einer weiteren Ausführungsform des Systems gemäß der vorliegenden Erfindung ist das Sys- tem als ein Bezahlsystem ausgestaltet, und/ oder das Steuerbefehlssignal liegt als ein Zahlungscode vor, und/ oder der in dem Steuerbefehlssignal bereitgestellte Wert identifiziert einen Zahlungsdienstleister, und/ oder der Steuerbefehlssignalparameter weist eine Kaufinformation auf, und/ oder der Steuerbefehl liegt als ein Transaktionsbefehl vor, und/ oder die erste Autorisierungsvorrichtung liegt als eine technische Vorrichtung eines Zahlungsleistenden vor, und/ oder die zweite Auto ris ieru ng svo rrichtung liegt als eine technische Vorrichtung eines Zahlungsempfangenden vor, und/ oder die Ausführungsvorrichtung liegt als eine technische Vorrichtung eines Zahlungsdienstleisters vor, und/ oder die erste Autorisierungsvorrichtung liegt als ein Steuerbefehlsmodul vor, und/ oder die zweite Autorisierungsvorrichtung liegt als ein Steuerbefehlsmodul vor, und/ oder die Ausführungsvorrichtung liegt als ein Steuerbefehlsmodul vor. Dies hat den Vorteil, dass das vorgeschlagene System als ein Finanztransaktionssystem betrieben werden kann und in bestehende Infrastrukturen eingebettet werden kann.

Die Aufgabe wird ebenfalls gelöst durch ein Verfahren zum Ausführen eines Steuerbefehls, ba- sierend auf einem Anfragesignal, basierend auf einem Initialisierungssignal, wobei auf Anfrage einer ersten Autorisierungsvorrichtung dieser mittels einer Ausführungsvorrichtung ein Initialisierungssignal bereitgestellt wird, welches von der ersten Autorisierungsvorrichtung unter Umgehung der Ausführungsvorrichtung an eine zweite Autorisierungsvorrichtung übermittelt wird; die zweite Autorisierungsvorrichtung ein Anfragesignal, welches mindestens einen Teil des Initiali- sierungssignals aufweist, erzeugt und dieses über die Ausführungsvorrichtung an die erste Autorisierungsvorrichtung übermittelt; und ein bereitgestellter Steuerbefehl in Abhängigkeit von einer Bestätigung des Anfragesignals durch die erste Autorisierungsvorrichtung von der Ausführungseinrichtung ausgeführt wird. Das Verfahren zum Ausführen eines Steuerbefehls, basierend auf einem Anfragesignal, basierend auf einem Initialisierungssignal ist also ein Verfahren zum Ausführen eines Steuerbefehls in Abhängigkeit von einem Anfragesignal und einem Initialisierungssignal. Ein Basieren beschreibt folglich, dass der Steuerbefehl nach Vorgabe einer Ausgestaltung eines Anfragesignals und/ oder eines Initialisierungssignals beziehungsweise einer Ausgestaltung eines Anfragenach- rieht und/ oder einer Initialisierungsnachricht ausgeführt wird. Hierbei kann die Vorgabe darin bestehen, dass die Signale oder Nachrichten Parameter bereitstellen, welche das Ausführen des Steuerbefehls beeinflussen. Somit können Nachrichten oder Signale als Eingabeparameter für einen solchen Steuerbefehl sein. Basierend kann auch bedeuten, dass der Steuerbefehl lediglich bei einem Vorhandensein zumindest eines Teils eines solchen Signals oder einer sol- chen Nachricht ausgeführt wird. Ferner ist es möglich, den Steuerbefehl anhand der Nachricht oder des Signals auszuwählen.

Ferner wird ein computerlesbares Medium vorgeschlagen, welches Steuerbefehle zum Ausführen des vorbeschriebenen Verfahrens abspeichert.

Somit werden ein Verfahren und ein System vorgeschlagen, welche es erlauben, einen bereitgestellten Steuerbefehl sicher auszuführen beziehungsweise das Ausführen zu veranlassen. Somit wird ein Transaktionssystem vorgeschlagen, welches bestehende Verfahren ersetzen kann. Es bietet dem Benutzer Datenschutz, da der zahlende Nutzer gegenüber dem Zahlungs- empfänger vollständig anonym bleibt. Das ermöglicht zum Beispiel den gefahrlosen, anonymen Spontankauf virtueller Güter wie zum Beispiel Musik, Filme, Bücher, Apps und dergleichen. Das System ist derart ausgelegt, dass Dienstleister dieses mittels geeigneter Schnittstellen implementieren können. Somit kann Geld von einem Nutzer eines Zahlungsdienstleisters zu einem Nutzer eines anderen Zahlungsdienstleisters unter Verwendung der vorgeschlagenen Erfindung übertragen werden.

Im Weiteren wird die Erfindung anhand beispielhafter Ausgestaltungen unter Bezugnahme auf die beigelegten Figuren näher erläutert.

Es zeigt dabei:

Figur 1 : ein Blockdiagramm eines Systems zur Ausführung eines Steuerbefehls

gemäß einem Aspekt der vorliegenden Erfindung;

Figur 2: ein Aktivitätsdiagramm eines Verfahrens zum Ausführen eines Steuerbefehls

gemäß einem Aspekt der vorliegenden Erfindung;

Figur 3: ein detailliertes Aktivitätsdiagramm eines Verfahrens zum Ausführen eines

Steuerbefehls gemäß einem weiteren Aspekt der vorliegenden Erfindung; Figur 4: ein Blockdiagramm eines Systems zur Ausführung eines Steuerbefehls

gemäß einem Aspekt der vorliegenden Erfindung;

Figur 5: ein detailliertes Aktivitätsdiagramm eines Verfahrens zum Ausführen eines

Steuerbefehls gemäß einem weiteren Aspekt der vorliegenden Erfindung; und

Figur 6: ein detailliertes Aktivitätsdiagramm eines Verfahrens zum Ausführen eines

Steuerbefehls gemäß einem weiteren Aspekt der vorliegenden Erfindung.

In den Figuren sind gleiche beziehungsweise funktionsgleiche Elemente mit den gleichen Be- zugszeichen versehen, sofern nichts anderes angegeben ist.

Figur 1 zeigt in einem Blockdiagramm ein System S zur Ausführung eines Steuerbefehls gemäß einer Ausführungsform der vorliegenden Erfindung ausgehend von einem bereitgestellten Initialisierungssignal, das System S aufweisend eine erste Autorisierungsvorrichtung A, eine zweite Autorisierungsvorrichtung C und eine Ausführungsvorrichtung B, wobei die Ausführungsvorrichtung B eingerichtet ist, auf Anfrage der ersten Autorisierungsvorrichtung A dieser ein Initialisie- rungssignal bereitzustellen, welches von der ersten Autorisierungsvorrichtung A unter Umgehung der Ausführungsvorrichtung B an die zweite Autorisierungsvorrichtung C übermittelt wird. Die zweite Autorisierungsvorrichtung C ist eingerichtet, ein Arrfragesignal zu erzeugen und dieses über die Ausführungsvorrichtung B an die erste Autorisierungsvorrichtung A zu übermitteln; und die Ausführungsvorrichtung B ist eingerichtet, einen Steuerbefehl basierend auf dem Anfragesignal in Abhängigkeit von einer Bestätigung des Anfragesignals durch die erste Autorisierungsvorrichtung A auszuführen.

Gemäß dem vorliegenden Ausführungsbeispiel erfolgt ein Anfragen der ersten Autorisierungs- Vorrichtung A mittels des Datenkanals AB. Ein Bereitstellen eines Initialisierungssignals erfolgt gemäß der vorliegenden Ausführungsform von der ersten Autorisierungsvorrichtung A an die Ausführungsvorrichtung B mittels des Datenkanals BA. Die erste Autorisierungsvorrichtung A übermittelt das Initialisierungssignal unter Umgehung der Ausführungsvorrichtung B an die zweite Autorisieru ngsvorri c tu ng C mittels des Datenkanals AC. Die zweite Autorisierungsvorrich- tung C erzeugt das Anfragesignal und übermittelt dieses über die Ausführungsvorrichtung B an die erste Autorisierungsvorrichtung A mittels des Daten ka na Is CB und BA. Die erste Autorisierungsvorrichtung übermittelt eine Bestätigung des Anfragesignals mittels des Datenkanals AB. Die vorbeschriebenen Datenkanäle können zumindest teilweise kabelgebunden und/ oder kabellos implementiert sein.

Figur 2 zeigt in einem Aktivitätsdiagramm ein Verfahren zum Ausführen eines Steuerbefehls gemäß einer Ausführungsform der vorliegenden Erfindung. Hierbei wird auf Anfrage einer Autorisierungsvorrichtung A dieser mittels einer Ausführungsvorrichtung B ein Initialisierungssignal bereitgestellt, welches von der ersten Autorisierungsvorrichtung A unter Umgehung der Ausfüh- rungsvorrichtung B an eine zweite Autorisierungsvorrichtung C übermittelt wird 00. Die zweite Autorisieru ng svorri chtu ng C erzeugt ein Anfragesignal, welches mindestens einen Teil des Initialisierungssignals aufweist und welches über die Ausführungsvorrichtung B an die erste Autorisierungsvorrichtung A übermittelt 101 wird. Ein bereitgestellter Steuerbefehl wird in Abhängigkeit von einer Bestätigung des Anfragesignals durch die erste Autorisierungsvorrichtung A von der Ausführungseinrichtung B ausgeführt 102.

Die vorbeschriebenen Verfahrensschritte können iterativ und/ oder in anderer Reihenfolge ausgeführt werden. Figur 3 zeigt in einem detaillierten Aktivitätsdiagramm ein Verfahren zum Ausführen eines Steuerbefehls gemäß einer Ausführungsform der vorliegenden Erfindung. Hierbei wird auf Anfrage 200 einer ersten Autorisierungsvorrichtung A dieser mittels einer Ausführungsvorrichtung B ein Initialisierungssignal bereitgestellt 201 , welches von der ersten Autorisierungsvorrichtung A unter Umgehung der Ausführungsvorrichtung B an eine zweite Auto risieru ngsvorrichtu ng C übermittelt wird 202; die zweite Autorisierungsvorrichtung C erzeugt 203 ein Anfragesignal, welches mindestens einen Teil des Initialisierungssignals aufweist, und übermittelt 204 dieses über die Ausf ü hru ng s vorrichtu ng B an die erste Autorisierungsvorrichtung A. Ein bereitgestellter Steuerbefehl wird in Abhängigkeit von einer Bestätigung 205 des Anfragesignals durch die erste Autorisierungsvorrichtung A von der Ausführungseinrichtung B ausgeführt 206. In weiteren optionalen Verfahrensschritten erfolgt ein Bestätigen des Ausführens des Steuerbefehls an die erste Autorisierungsvorrichtung 207 und die zweite Autorisierungsvorrichtung 208. Zudem sind in weiteren optionalen Verfahrensschritten Authentifizierungen möglich.

Die vorbeschriebenen Verfahrensschritte können iterativ und/ oder in anderer Reihenfolge aus- geführt werden.

Die vorliegende Figur 4 zeigt in einem Blockdiagramm zwei interagierende Komponenten D und E als Teil eines Systems zur Ausführung eines Steuerbefehls gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. Gemäß dem vorliegenden Ausführungsbeispiel erwirbt ein Benutzer mittels eines mobilen Endgeräts D eine Ware oder Dienstleistung von einem

Diensteanbieter E. In der vorliegenden Figur 4 ist dies mittels eines bidirektionalen Pfeils gekennzeichnet. Dieser Pfeil beschreibt also lediglich die logische Kommunikation, wobei es jedoch möglich ist, dass die beiden Komponenten D und E mittels zwischengeschalteter Komponenten kommunizieren. Zum Beispiel kann die Komponente D als eine erste Autorisierungsvor- richtung und die Komponente E als eine zweite Autorisierungsvorrichtung vorliegen. Die Komponente D kann außerdem als Mobiltelefon vorliegen, und die Komponente E kann als ein Mobiltelefon, ein Verkaufsautomat, eine Webseite oder ein Kassensystem vorliegen. Da in diesem Ausführungsbeispiel lediglich die logische Interaktion dargestellt wird, zeigt Figur 4 keine Aus- f ü h ru ngsvorrichtu ng , da diese aus Sicht der Benutzer lediglich im Hintergrund eine Transakti- onsverwaltung ausführt. Ausgehend von diesem Szenario wird die Erfindung anhand von folgendem Ablauf näher erläutert:

Ein Benutzer hat eingekauft und möchte bezahlen. Dazu verwendet er sein Mobiltelefon, also Komponente D. Auf dem Gerät D werden Steuerbefehle gemäß der vorliegenden Erfindung ausgeführt. Der Benutzer tippt auf einen Schaltknopf "Bezahlen" und erhält damit von seiner Bank einen einmaligen Zahlungscode. Dieser wird mittels Barcode-Scanner eines Kassensystems, vorliegend Komponente E, übergeben. Mittels des Codes übermittelt das

Kassensystem E eine Zahlungsanfrage an eine Bank. Diese leitet die Anfrage an ihn weiter. Er bestätigt die Zahlung mit einer PIN. Die Bank nimmt die Zahlung vor. Das Kassensystem E und der Benutzer der Komponente D erhalten jeweils eine Zahlungsbestätigung.

In einer weiteren Ausführungsform eines Verfahrens zum Ausführen eines Steuerbefehls gemäß der vorliegenden Erfindung Säuft das Verfahren wie folgt ab. Ein Geschäft betreibt ein Kassensystem, ein Kunde betreibt ein Smartphone. Beide Geräte, Kassensystem und Smartphone, sind bei einer Bank registriert und müssen sich authentifizieren. Dies erlaubt die Verwendung einer starken Verschlüsselung. Tippt der Kunde auf einen Schaltknopf "Bezahlen", bekundet das Gerät den Zahlungswillen gegenüber der Bank, und die Bank vergibt den Zahlungscode. Der Benutzer übermittelt den Zahlungscode an das Kassensystem zum Beispiel per Barcode. Das Kassensystem sendet die Zahlungsanfrage an die Bank. Die Bank reicht die Zahlungsanfrage an den Kunden weiter. Dieser bestätigt mit seiner PIN die Zahlung. Die Bank führt die Zahlung aus und sendet beiden Partnern eine Zahlungsbestätigung.

Innerhalb von 72 Stunden wird der Zahlungscode von der Bank für genau eine Zahlung vergeben und ist dann nur wenige Minuten gültig. Der Benutzer bekundet damit seinen Zahlungswillen, und die Rechnung erreicht damit den richtigen Benutzer. Der Code verbirgt zudem die Identität des zahlenden Benutzers und macht diesen damit anonym. Durch dieses System erscheinen unberechtigte Zahlungsanfragen unmöglich.

In einer weiteren Ausführungsform eines Verfahrens zum Ausführen eines Steuerbefehls gemäß der vorliegenden Erfindung läuft das Verfahren wie folgt ab. Das Mobiltelefon authentifiziert sich gegenüber der Bank. Der Benutzer klickt auf einen Schaltknopf "Bezahlen" auf seinem Smartphone, das Gerät bekundet den Zahlungswillen und bekommt von der Bank den Zahlungscode zugewiesen. Dieser Code ist einmalig, zumindest innerhalb einer bestimmten Zeiteinheit, zum Beispiel die nächsten 72 Stunden. Der Benutzer kann diesen Code als Strichcode anzeigen für ein Kassensystem zum Beispiel oder als ein QR-Code, so kann er zum Beispiel mit einer Mobiltelefon-Kamera gelesen werden oder in Zahlen, damit er ihn mit Hand eingeben kann, wenn er zum Beispiel im Internet einkauft. Sobald der Benutzer den Code übermittelt hat, sendet das Kassensystem die Zahlungsanfrage an die Bank. Die Bank leitet diese Zahlungsanfrage an den Benutzer weiter. Jetzt bestätigt der Benutzer die Zahlung mit einer PIN. Nach einer kurzen Wartezeit erhält er eine Übersicht seiner letzten Ausgaben; darin enthalten ist die Zahlungsbestätigung für die gerade getätigte Zahlung. Erfindungsgemäß kann in einem weiteren Ausführungsbeispiel ein eigenes Konto, im folgenden Qick Money Transaction-Konto, kurz QMT-Konto, eingerichtet werden. QMT kann auch das erfindungsgemäße System zur Ausführung eines Steuerbefehls bezeichnen. Ein Kunde besitzt ein Bankkonto und ein QMT-Konto. Auf dem QMT-Konto liegt ein geringes Guthaben. Dieses QMT-Guthaben bestimmt unter anderem den Verfügungsrahmen, zum Beispiel: 100€ Guthaben bedeutet 200€ Verfügungsrahmen in 10 Tagen. Der QMT-Dienstleister zieht Geld vom Kunden per Bankeinzug ein. Der QMT-Dienstleister überträgt Geld an die Kunden per Überweisung. Hierbei wird eine gewisse Trägheit eingebaut, also ein zeitlicher Versatz des Bereitstellens von Geldbeträgen, um den Zahlungsdienstleistern ein Sicherheitspolster zu geben. Die Zahlungsdienstleister gleichen Ihre Bankkonten anhand der Verschiebungen auf den QMT- Konten täglich per Überweisung ab.

Zur Durchführung einer Altersprüfung können erfindungsgemäß folgende Verfahrensschritte durchgeführt werden: Der Geldempfänger sendet die Zahlungsanfrage, die ein Feld "Minden- destalter" enthält. Liegt das Alter des Geldgebers unter dem Mindestalter, wird die Transaktion abgewiesen. Beide Benutzer werden über die Verletzung der Altersgrenze informiert.

Ferner kann erfindungsgemäß ein elektronischer Kassenzettel Verwendung finden. Die Zahlungsanfrage enthält zwei Felder, "Kassenzettel" und "Kassenzettelgültigkeit". "Kassenzettel" enthält einen HTTPS-URI wie zum Beispiel:

^B https:/ kasse.xyz.de/zettel.php?id=n47kj34a72d4&key=0db2sqlfmsze "

Mittels der URI kann eine XML-Datei adressiert werden, die im Webbrowser mittels XSLT als

HTML-Seite dargestellt wird. Figuren 5 und 6 zeigen in jeweils einem detaillierten Akti vitätsd iag ram m ein Verfahren zum Ausführen eines Steuerbefehls gemäß jeweils einer Ausführungsform der vorliegenden Erfindung. Zunächst wird auf die technischen Komponenten, welche in dem Verfahren zum Ausführen eines Steuerbefehls gemäß einer Ausführungsform der vorliegenden Erfindung Einsatz finden, eingegangen.

Der Zahlungsleistende, kurz ZL, transferiert Zahlungsmittel zu einem anderen Teilnehmer. Der Zahlungsempfänger, kurz ZE, erhält Zahlungsmittel von einem anderen Teilnehmer. Der Zahlungsdienstleister, kurz ZDL, führt den Zahlungsmitteltransfer aus. Die erste und/ oder die zweite Autorisierungsvorrichtung kann als ein Endbenutzerterminal vorliegen. Dieses Gerät Endbenutzerterminal ist in der Lage, unter Verwendung eines definierten Protokolls über ein Netzwerk eine verschlüsselte authentifizierte Verbindung zu einem System des ZDLs aufzubauen. Der Zahlungsleistende ZL verfügt im vorliegenden Ausführungsbeispiel über die erste Autorisierungsvorrichtung A, der Zahlungsempfänger ZE verfügt über die zweite

Autorisierungsvorrichtung C, und der Zahlungsdienstleister ZDL verfügt über

Ausführungsvorrichtung B. Für die Authentifizierung des Endbenutzerterminals gegenüber dem ZDL und umgekehrt wird ein Signaturverfahren eingesetzt. Als konkrete Beispiele für Geräte, die ein Endbenutzerterminal im hier beschriebenen Sinne darstellen, seien Mobiltelefone, Kassensysteme oder Automaten genannt oder Internetdienste, die über eine Weboberfläche bedient werden. Das Signaturverfahren ist in der Lage, einen definierten Code optisch anzuzeigen oder elektronisch an ein anderes Endbenutzerterminal zu übertragen. Es kann diesen Code optisch erfassen, zum Beispiel auf elektronischem Weg, mittels Funk empfangen oder diesen durch eine manuelle Eingabe entgegennehmen. Merkmale eines Endbenutzerterminals können sein:

kann eine ZE-Funktion und eine ZL-Funktion beinhalten ;

kann aber auch nur eine der beiden Funktionen besitzen ;

befindet sich im persönlichen Besitz des Benutzers ;

im Falle einer Privatperson könnte das zum Beispiel das Mobiltelefon sein;

- ein Kassensystem befindet sich im Besitz des Ladeninhabers; Zugang zu diesem haben nur berechtigte Angestellte, die sich über ein geeignetes Verfahren an diesem System authentifiziert haben.

Die Ausführungsvorrichtung kann als ein Zahlu gsd ienstleistersystem , kurz ZDLS, vorliegen. Das System des ZDL (ZDLS) kann unter Verwendung eines definierten Protokolls über ein

Netzwerk eine verschlüsselte Verbindung entgegennehmen. Es authentifiziert sich gegenüber dem Endbenutzerterminal und identifiziert das Endbenutzerterminal eindeutig. Es ordnet ein Endbenutzerterminal eindeutig einem registrierten Benutzer zu und nimmt von diesem Anfragen entgegen. Weiterhin ist es in der Lage, eine Transaktion zwischen einem Endbenutzer, welcher an das eigene System gekoppelt ist, und dem Endbenutzer eines anderen ZDLs durchzuführen, indem jeder ZDL stellvertretend für seinen Endbenutzer gegenüber dem jeweils anderen ZDL als Transaktionspartner auftritt. Dabei werden jedoch die zur Durchführung der Transaktion notwendigen Daten der Endteilnehmer durchgereicht. Ein Ablauf einer Zahlungs-Transaktion gemäß einer Ausführungsform des erfindungsgemäßen Verfahrens zum Ausführen eines Steuerbefehls kann wie folgt beschrieben werden. In vorbereitenden Verfahrensschritten sind optionale Authentifierungsschritte 50, 51 vorteilhaft. Um eine Transaktion zu beginnen, muss ein Teilnehmer, also der ZL, zum Beispiel der Kunde in einem Geschäft, mittels seines Endbenutzerterminals, zum Beispiel seinem entsprechend ausgestattetem Mobiltelefon, seinen Zahlungswillen gegenüber seinem ZDL bekunden 52.

Der ZDL generiert einen Code, zum Beispiel den Zahlungscode, der aus einem vordefinierten Wert und einem Zufallswert besteht. Der vordefinierte Teil des Codes identifiziert den ZDL. Der Zahlungscode ist nur für einen eng begrenzten Zeitraum, zum Beispiel 10 Minuten, gültig.

Derselbe Zahlungscode kann innerhalb eines größeren Zeitrahmens, zum Beispiel 30 Tage, nur einmal vergeben werden. Das System des ZDL speichert die Zuordnung des Zahlungscodes zum Endbenutzerterminal des ZL und überträgt 53 den Code an das Endbenutzerterminal des ZL. Das Endbenutzerterminal des ZL bringt den Code in menschen- und/ oder

maschinenlesbarer Form zur Anzeige oder überträgt 54 diesen direkt, zum Beispiel per Funk oder Infrarot, an das Endbenutzerterminal des ZE. Das Endbenutzerterminal des ZE, zum Beispiel das Kassensystem des Geschäfts, nimmt den Code über Sensoren, zum Beispiel einen Barcodescanner, elektronische Übertragungsverfahren oder manuelle Eingabe entgegen. Es erzeugt aus den bereits vorliegenden Daten, welche vor dem Vorgang eingegeben oder von einem anderen System übertragen werden, über die monetäre Forderung des ZE und dem Zahlungscode eine Zahlungsanfrage, kurz ZA, und überträgt 55 diese an seinen ZDL.

Je nachdem, ob der ZDL des ZE und des ZL derselbe ist oder nicht, unterscheidet sich der nachfolgende Ablauf. Ist der ZDL des ZE und des ZL derselbe, gestaltet sich der weitere Ablauf, wie folgt: Das System des ZDL ordnet die Zahlungsanfrage dem Endbenutzerterminal des ZL zu und sendet 56 diesem die Zahlungsanfrage. Die Zahlungsanfrage wird dabei geprüft und kann bei Bedarf verändert werden. Der ZL wird von seinem Endbenutzerterminal über den Inhalt der Zahlungsanfrage informiert, zum Beispiel durch Anzeige auf einem Display. Der ZL bestätigt die Transaktion über die Eingabe eines nur ihm bekannten Geheimnisses, zum Beispiel PIN oder Passwort, an seinem Endbenutzerterminal. Die Bestätigung der Transaktion übermittelt 57 das Endbenutzerterminal des ZL an das System seines ZDL. Das System des ZDL führt die

Transaktion aus 58 und sendet 59A, 59B jeweils eine Bestätigung der Transaktion an die Endbenutzerterminals des ZL und des ZE. Die Transaktion ist im Nachhinein durch die

Kombination aus Zahiungscode und dem Zeitstempel eindeutig identifizierbar.

Sind ZL und ZE bei unterschiedlichen ZDL registriert, zum Beispiel B1 und B2, gestaltet sich der weitere Ablauf, wie in Figur 6 beschrieben. Verfahrensschritte gemäß Bezugszeichen 60 bis 64 und 66 finden analog zu Bezugszeichen 50 bis 55 Anwendung. Femer finden Verfahrensschritte gemäß Bezugszeichen 68, 69, 611 , 612 und 613 analog Anwendung zu den Verfahrensschritten gemäß Bezugszeichen 56, 57, 58, 59A und 59B. Das System des ZDL ordnet die Zahlungsanfrage dem ZDL des ZL zu. Das System des ZDL des ZE baut über ein Datennetzwerk, zum Beispiel das Internet, Standleitung oder Telefonnetz, eine verschlüsselte Verbindung zum System des ZDL des ZL auf. Beim Verbindungsaufbau authentifizieren 65 sich beide Systeme gegenüber einander. Das ZDLS des ZE sendet 67 eine Kopie der Zahlungsanfrage an ZDLS des ZL. Die Zahlungsanfrage wird dabei geprüft und kann bei Bedarf verändert werden. Das ZDLS des ZL ordnet die Zahlungsanfrage dem

Endbenutzerterminal des ZL zu und sendet diesem die Zahlungsanfrage. Die Zahlungsanfrage wird dabei geprüft und kann bei Bedarf verändert werden. Der ZL wird von seinem

Endbenutzerterminal über den Inhalt der Zahlungsanfrage informiert, zum Beispiel durch Anzeige auf einem Display. Der ZL bestätigt 69 die Transaktion über die Eingabe eines nur ihm bekannten Geheimnisses, zum Beispiel PIN oder Passwort, an seinem Endbenutzerterminal. Die Bestätigung der Transaktion übermittelt das Endbenutzerterminal des ZL an das System seines ZDL. ZDL B1 sendet 610 eine Zahlungsbestätigung an B2. Die Systeme der ZDL führen die Transaktion aus 6 1 und senden 612, 613 jeweils eine Bestätigung der Transaktion an die Endbenutzerterminals des ZL beziehungsweise des ZE.

Dabei ergeben sich folgende Beziehungen: Der ZE erhält das Zahlungsmittel von seinem ZDL gutgeschrieben. Der ZDL des ZE erhält das Zahlungsmittel vom ZDL des ZL gutgeschrieben. Der ZDL des ZL bucht das Zahlungsmittel vom Konto des ZL direkt ab. Die Transaktion ist im Nachhinein durch die Kombination aus Zahlungscode und dem Zeitstempei eindeutig identifizierbar, alle Buchungen, die diese Transaktion betreffen, werden von den ZDLS mit diesen Angaben verknüpft.

Gemäß einem weiteren Merkmal mindestens einer Ausführungsform eines Verfahren zum Ausführen eines Steuerbefehls findet eine Vielzahl von Sicherheitsmechanismen Einsatz.

Primäre Zielplattformen für die Endbenutzerterminal-Anwendung sind sogenannte

Smartphones. Diese bieten an sich bereits ein relativ hohes Sicherheitsniveau. Die

Anwendungssoftware für diese Systeme wird normalerweise aus sogenannten App Stores bezogen. Die Betreiber prüfen alle darin angebotenen, Programme auf Unbedenklichkeit.

Schadsoftware hat so geringe Chancen, zum Endkunden zu gelangen. Die Betriebssysteme isolieren installierte Anwendungen und deren Daten voneinander, auch Sandboxing genannt. Dadurch kann eine gefährliche Anwendung nur auf vertrauenswürdige Daten einer anderen Anwendung zugreifen, wenn sie es schaffen sollte, die Sicherheitsmechanismen des

Betriebssystems zu umgehen.

Die Daten der Endbenutzerterminal-Anwendung werden zudem verschlüsselt abgespeichert. Zur Ver- und Entschlüsselung der Daten werden Funktionen/ Daten der SIM-Karte und/ oder einer anderen Hardwarekomponente verwendet, über die ein Dritter nicht verfügen kann.

Die Endbenutzerterminal-Anwendung speichert mehrere Schlüssel. Mindestens einer dient dazu, das System des ZDL zu authentifizieren. Mindestens ein weiterer wird genutzt, um das Endbenutzerterminal gegenüber dem ZDLS zu authentifizieren. Ein Schlüssel wird als

Einmalschlüssel für die jeweils nächste Sitzung, als© die Verbindung mit dem ZDLS, verwendet. Im Rahmen einer solchen Sitzung wird immer ein Schlüssel für die jeweils nächste Sitzung erzeugt und auf dem Endbenutzerterminal gespeichert. Dieser Schlüsse! wird solange gespeichert, bis das Endbenutzerterminal den übernächsten Schlüssel erhalten hat Mindestens ein Schlüssel wird als Maske für das Benutzergeheimnis, zum Beispiel PIN, gespeichert. Das Benutzergeheimnis wird mit der Maske verschlüsselt und in dieser Form vom ZDLS geprüft. Somit wird das Benutzergeheimnis nicht direkt übertragen und ist nicht auf dem Gerät gespeichert. Weitere Sicherheifsaspekte ergeben sich direkt aus dem Zahlungsverfahren:

ZE und ZL sind dem ZDL stets beide bekannt.

Eine Transaktion muss vom ZL eingeleitet werden. Dabei kommuniziert dieser direkt und ausschließlich mit dem ZDL.

Eine Zahlungsanfrage kann nicht ohne einen gültigen Zahlungscode eingereicht werden. Einen solchen erfolgreich zu erraten, ohne durch Fehlversuche aufzufallen, ist höchst unwahrscheinlich, da das Verhältnis von gültigen Schlüsseln zu ungültigen Schlüsseln stets mindestens x-tausend zu eins beträgt.

Eine Zahlung wird nur ausgeführt, wenn diese vom ZL über sein persönliches

Endbenutzerterminal mit seinem Geheimnis bestätigt worden ist. Abgelehnte

Zahlungsanfragen fallen ebenfalls auf.

Durch den Code, der lediglich eine Transaktion ist und den ZDL des ZL identifiziert, bleibt der ZL gegenüber dem ZE anonym. Der ZE kann den ZL also weder identifizieren, noch unaufgefordert weitere Zahlungsanfrage an diesen richten. Weitere Sicherungsmaßnahmen können auf dem System des ZDL zum Tragen kommen. Hier können zum Beispiel Kreditlimits, Transaktionslimits und Algorithmen zur Erkennung von Unregelmäßigkeiten implementiert werden. Der Durchschnittsfachmann erkennt hierbei, wie die vorbeschriebenen Sicherheitsmechanismen in den jeweiligen Ausführungsformen des vorgeschlagenen Systems zur Ausführung eines Steuerbefehls beziehungsweise des Verfahrens zum Ausführen eines Steuerbefehls

anzuwenden sind.